Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Il Ritorno di Dridex: Il Malware Bancario Che Sta Mettendo in Pericolo le Finanze Online

Ricardo Nardini : 9 Ottobre 2023 07:20

Nel corso del 2014 e 2015 Dridex ha causato perdite milionarie dai conti correnti in diversi paesi europei e negli Stati Uniti, prima di scomparire. Tuttavia sembra che il malware trojan Dridex sia nei paraggi, mutato e apparentemente con versioni più difficili da rilevare adeguandosi alle attuali tecnologie bancarie.

Dridex utilizzava allegati di posta elettronica, per esempio una fattura in formato Word o Excel che chiedeva di attivare le macro per aprirla. Una volta scaricato ed eseguito l’allegato infettava il dispositivo e riusciva a rubare le password del home banking se memorizzate nel browser. Se le password non erano memorizzate nel browser, il malware attendeva finché si accedeva al sito web della banca e prendeva possesso della password. Una volta in possesso delle credenziali, otteneva pieno accesso ai conti ed eseguiva bonifici su un conto provvisorio di sua convenienza.

Molti clienti di diverse entità bancarie spagnole sono stati vittime di questo malware. Ai tempi Dridex era uno dei ladri virtuali più sofisticati conosciuti, dedito a rubare dal conto corrente con operazioni di sembianze totalmente umane.

La sicurezza bancaria implementata attualmente all’interno delle proprie applicazioni mobili è totalmente incompatibile con malware di questo tipo. Oggi le transazioni bancarie vengono elaborate ed il traffico da e per i dispositivi mobili viene effettuato con un livello di cifrato e decrittazione altissimo, aggiungendo dalle filiali i nostri numeri di telefono “autorizzati”, dispositivi smartphone idonei ed autenticazione a due fattori cablata all’interno di queste applicazioni e pressoché impensabile una manovra come quella del 2015.

Nel gennaio del 2018, i ricercatori di Forcepoint Security Labs hanno scoperto che Dridex aveva espanso la propria catena di infezione non solo prendendo di mira gli utenti attraverso campagne di phishing ma anche attraverso siti Web FTP compromessi. Parliamo solo di infezioni e permanenza latente presso i dispositivi degli utenti.

A metà del 2019 il ricercatore informatico Brad Duncan sosteneva che quella variante del trojan sfrutta la tecnica dell’Application Whitelisting per bloccare gli elementi del Windows Script Host. In questo modo il malware era di nuovo in grado di utilizzare script XLS per aggirare ogni tentativo di mitigazione. 

La società di sicurezza informatica eSentire nel 2019 scrisse che la funzionalità principale di Dridex aveva ricevuto un ulteriore aggiornamento fornendo ulteriori dettagli relativi su quel ceppo. Sempre in quell’anno il FBI ha pubblicato i nomi di alcuni presunti autori di Dridex, tutti sotto un organizzazione con le basi in Russia chiamata Evil Corp.

Nel 2020 il malware era stato capace di sfuggire a molti antivirus basati sulle firme e questo ha reso difficile fermare la diffusione dello stesso. Ad oggi la maggior parte degli antivirus è in grado di rilevarlo ma anche se la sicurezza bancaria ha fatto ottimi passi avanti, quanti sono ad oggi gli smartphone senza antivirus in circolazione per l’Italia?

L’attuale situazione

Durante l’ultima diffusione del malware eSentire sostiene che gli autori non hanno ancora finito, ed è possibile che “questa variante di Dridex continuerà a mutare durante l’attuale campagna”.

Per quanto ne sappiamo Evil Corp si specializza attualmente in ransomware Lockbit e potrebbe specializzarsi nel cracking specifico di solo alcune applicazioni bancarie di cui sul mercato del DarkWeb si conoscono e si vendono informazioni. Di certo Evil Corp possiede il know how per evolvere Dridex al punto di riuscire a raggirare moltissimi controlli ed autenticazioni a due fattori di certe applicazioni bancarie per dispositivi mobili. Da fonti affidabili di intelligence, Evil Corp è una delle organizzazioni che collabora attivamente con l’attuale regime statale Russo quindi per quanto possiamo immaginare conta con ingenti fondi e risorse che li permettono di continuare le sue attività di sviluppo presso i suoi territori.

Comportamenti alla base della cybersecurity 

Di conseguenza oggi Red Hot Cyber ripropone nuovamente un briefing sintetico di alcune delle misure di prevenzione necessarie per mitigare questo tipo di malware:

a. Se si utilizzano applicazioni di home banking, evitare di salvare le password e PIN dentro i block notes del dispositivo mobile e quando si utilizzano, assicurarsi di essere sull’applicazione ufficiale della banca e che questa sia aggiornata all’ultima versione presso lo store. Già oggi molti istituti bancari non permettono neppure l’esecuzione delle loro applicazioni che non siano all’ultima versione, quindi al momento del login, l’applicazione avviserà di aggiornare prima e poi eseguire il login.

b. Come scritto sopra, installare un antivirus valido sul dispositivo. La spesa del costo di un buon antivirus ne vale sempre la pena e alla fine si ripaga da se. Ricordate che siete voi stessi i responsabili della cybersecurity dei vostri dispositivi.

c. La buona praxis di non aprire mai allegati contenenti macro neppure da mail presumibilmente genuine è alla base del miglior comportamento di autotutela. Sembra sciocco ma di solito la porta d’ingresso del malware viene quasi sempre spalancata dalla persona che utilizza il dispositivo.

d. Assicurarsi sempre di non dire ne trasmettere mai password in telefonate a colleghi o superiori, meglio trovare metodi alternativi per svolgere un attività, o ritardare di qualche ora un compito lavorativo, che trasmettere password per telefono, via mail o sms.

Non è il tentativo d’insegnare il già saputo, ma quello di tenere costantemente alta la guardia su comportamenti e situazioni deleterie per la propria sicurezza.

Ricardo Nardini
Specialista elettronico in telecomunicazioni, si dedicò all'informatica dal 1987. Prestò servizio per Ericsson, Harris e Nokia. Negli anni novanta ha lavorato per clienti come Agusta, Siai Marchetti, e per Euratom (JRC) Ispra. Negli anni 2000 era IT di secondo livello presso Vodafone. Lavorò per otto anni su sistemi AS400 presso Intesasanpaolo. Attualmente è un IT System Specialist, e si occupa anche esternamente di problematiche inerenti il perimetro della sicurezza informatica e la cybersecurity.